《IPV6組網(wǎng)技術(shù)與實踐》 課件 11：保護IPv6網(wǎng)絡(luò)安全技術(shù)-3

單元11保護IPv6網(wǎng)絡(luò)安全技術(shù)【技術(shù)背景】IPv6技術(shù)帶有天然安全優(yōu)勢，在可溯源性、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議等方面，大大提升安全。但在IPv6網(wǎng)絡(luò)運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務(wù)器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護；面臨ND協(xié)議欺騙，需要實施NDSnooping安全等安全防護。在針對不同區(qū)域網(wǎng)絡(luò)之間安全防護時，還需要實施ACL6安全?！緦W(xué)習(xí)目標(biāo)】1.知識目標(biāo)（1）了解IPv6安全地址綁定技術(shù)。（2）了解DHCPv6Snooping安全技術(shù)。（3）了解NDSnooping安全、IPv6RAGuard安全防護技術(shù)。（4）了解中ACL6安全技術(shù)?！緦W(xué)習(xí)目標(biāo)】2.技能目標(biāo)（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護。（4）實施ACL6安全技術(shù)。【學(xué)習(xí)目標(biāo)】3.素養(yǎng)目標(biāo)（1）學(xué)會整理知識筆記，按照標(biāo)準(zhǔn)格式制作實訓(xùn)報告。（2）能保持工作環(huán)境干凈，實現(xiàn)物料放置地整潔，遵守6S現(xiàn)場管理標(biāo)準(zhǔn)。（3）學(xué)會和同伴友好溝通，建立友好團隊合作關(guān)系。（4）在實訓(xùn)現(xiàn)場具有良好安全意識，懂得安全操作知識，嚴(yán)格按照安全標(biāo)準(zhǔn)流程操作。任務(wù)11.3

NDSnooping安全【技術(shù)介紹】NDSnooping安全是針對IPv6中的ND協(xié)議，在二層交換網(wǎng)中實施安全。通過偵聽用戶重復(fù)地址檢測DAD（DuplicateAddressDetection）中鄰居請求報文NS（NeighborSolicitation），建立NDSnooping動態(tài)綁定表，記錄報文源IPv6地址、源MAC地址、所屬VLAN、入口等信息，防止后續(xù)用戶實施網(wǎng)關(guān)欺騙。11.3實施NDSnooping安全【技術(shù)介紹】11.3.1了解NDSnooping安全ND協(xié)議沒有安全防范機制，容易被攻擊者利用。常見ND攻擊有兩種情況。1.地址欺騙攻擊攻擊者仿冒其它用戶IPv6地址，發(fā)送鄰居請求報文NS、鄰居通告報文NA、路由器請求報文RS，改寫網(wǎng)關(guān)地址等欺騙?；蛘呔W(wǎng)絡(luò)中用戶ND表項被仿冒，造成無法正常接收報文。11.3實施NDSnooping安全【技術(shù)介紹】11.3.1了解NDSnooping安全2.RA攻擊攻擊者仿冒網(wǎng)關(guān)設(shè)備，向用戶發(fā)送路由器通告報文RA，改寫用戶設(shè)備上ND表項，導(dǎo)致合法用戶記錄錯誤，造成用戶無法通信。如圖所示。11.3實施NDSnooping安全【技術(shù)介紹】11.3.2掌握NDSnooping安全原理NDSnooping通過偵聽基于ND報文，建立前綴管理表、NDSnooping動態(tài)綁定表，使設(shè)備根據(jù)前綴管理表，管理用戶IPv6地址。交換機根據(jù)NDSnooping動態(tài)綁定表，過濾從非信任端口上收到的非法ND報文，防止ND攻擊事件發(fā)生。11.3實施NDSnooping安全【技術(shù)介紹】11.3.2掌握NDSnooping安全原理1.區(qū)分Snooping信任端口/非信任端口NDSnooping安全將連接IPv6交換機口分為兩種角色。（1）NDSnooping信任端口。信任口連接網(wǎng)絡(luò)中信任的IPv6主機，從該接口上收到ND報文正常轉(zhuǎn)發(fā)。同時，交換機根據(jù)收到的RA報文，建立前綴管理表。11.3實施NDSnooping安全【技術(shù)介紹】1.區(qū)分Snooping信任端口/非信任端口（2）NDSnooping非信任端口非信任接口連接網(wǎng)絡(luò)中不信任IPv6主機，從該接口上收到RA報文，交換機認為是非法報文，直接丟棄。交換機根據(jù)NDSnooping動態(tài)綁定表，對NA/NS/RS報文進行綁定表匹配檢查。11.3實施NDSnooping安全【技術(shù)介紹】2.什么是前綴管理表通過無狀態(tài)地址自動配置方式，用戶設(shè)備獲取IPv6地址。其中，IPv6地址根據(jù)路由器發(fā)送RA報文中網(wǎng)絡(luò)前綴，自動生成。配置NDSnooping安全檢查后，交換機偵聽從NDSnooping信任端口上收到RA報文，自動生成前綴管理表，供網(wǎng)絡(luò)管理員查看，靈活管理用戶IPv6地址。11.3實施NDSnooping安全【技術(shù)介紹】3.更新和老化NDSnooping動態(tài)綁定表在交換機上配置NDSnooping動態(tài)綁定表，包括源IPv6地址、源MAC地址、所屬VLAN信息，幫助交換機從非信任端口上，對收到NA/NS/RS報文進行綁定表匹配檢查，過濾非法NA/NS/RS報文。通過配置NDSnooping安全檢查，檢查DAD檢測中NS報文信息，建立NDSnooping動態(tài)綁定表；通過檢查NS報文、NA報文內(nèi)容，更新NDSnooping動態(tài)綁定表。11.3實施NDSnooping安全【技術(shù)介紹】4.NDSnooping動態(tài)綁定表應(yīng)用場景如圖所示，黑客Attacker仿冒合法用戶UserA，向交換機發(fā)送偽造NA/NS/RS報文，導(dǎo)致交換機上ND表中記錄UserA設(shè)備錯誤地址映射，黑客Attacker獲到外部網(wǎng)絡(luò)通過網(wǎng)關(guān)原來要發(fā)往合法UserA設(shè)備上數(shù)據(jù)?！炯夹g(shù)介紹】4.NDSnooping動態(tài)綁定表應(yīng)用場景為了防止地址欺騙和攻擊事件發(fā)生，在交換機Switch的Gi0/1和Gi0/3接口上部署NDSnooping安全檢查，將Switch與網(wǎng)關(guān)相連接口Gi0/3置為信任接口；在連接用戶接口Gi0/1上開啟ND安全檢查。從交換機的Gi0/1口收到的NA/NS/RS報文，Switch根據(jù)生成NDSnooping動態(tài)綁定表，匹配檢查到非法報文直接丟棄，避免偽造的NA/NS/RS報文帶來危害?！炯夹g(shù)介紹】11.3.3配置NDSnooping安全通過如下配置，完成NDSnooping安全配置操作。（1）開啟NDSnooping功能。在接口模式下，使用如下命令開啟NDSnooping功能。Switch(config-if)#ipv6ndsnoopingenable//開啟NDSnooping功能（2）配置NDSnooping信任口。在接口模式下，使用如下命令完成信任口配置。Switch(config-if)#ipv6ndsnoopingtrust//配置該接口為信任口【技術(shù)介紹】11.3.3配置NDSnooping安全（3）配置ND協(xié)議報文合法性檢查。在接口模式下，使用如下命令完成ND協(xié)議報文合法性檢查配置。Switch(config-if)#ipv6ndsnoopingcheckaddress-resolution//開啟報文合法性檢查在接口模式下，使用如下命令開啟NDSnooping綁定表檢查告警功能。Switch(config-if)#ipv6